что такое модуль доверенной загрузки

	ЕВГЕНИЙ НИКИТИН, начальник отдела разработки компании ПАК «Соболь»
	ВЛАДИМИР ШРАМКО, руководитель группы разработки технической документации компании «Код Безопасности»

Всегда ли на замке?
Как обезопасить компьютер модулем доверенной загрузки

При обеспечении контроля физического доступа к системным блокам и правильной эксплуатации модулей доверенной загрузки защищаемые компьютеры всегда находились на замке. Однако в компьютерном мире появились новые угрозы, способные нарушить сложившуюся ситуацию

В течение многих лет аппаратно-программный модуль доверенной загрузки (МДЗ) компьютера является одним из самых надежных и распространенных отечественных средств компьютерной безопасности. По приблизительной оценке, за годы своего существования количество МДЗ, установленных в компьютеры, приближается к миллиону экземпляров.

Под доверенной загрузкой обычно понимается загрузка операционной системы (ОС) с внутреннего жесткого диска компьютера, которая происходит только после выполнения процедур идентификации и аутентификации пользователя, а также проверки целостности программной и аппаратной среды рабочего места, в том числе целостности объектов загружаемой ОС. При этом должна обеспечиваться невозможность загрузки пользователем другой ОС (с внешних носителей информации и др.).

Модуль доверенной загрузки представляет собой комплекс аппаратно-программных средств, устанавливаемый в рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и обеспечивающий контроль доступа пользователя к рабочему месту и контроль целостности программной среды рабочего места.

Развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники и с изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые идентификаторы, следом за ними совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов.

Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.

В настоящей статье описываются принципы функционирования МДЗ, проводится обзор современного отечественного рынка устройств, рассматриваются последние угрозы компьютерной безопасности и предлагаются ответные меры с использованием МДЗ, позволяющие сохранить компьютеры на замке.

Принцип работы МДЗ

Модули доверенной загрузки обеспечивают выполнение следующих основных функций:

При первичной настройке МДЗ назначается администратор модуля, который обладает привилегиями на регистрацию и удаление пользователей, управление параметрами работы модуля, просмотр журнала событий и управление списком объектов, целостность которых должна контролироваться до загрузки операционной системы. В случае появления нарушений при проверке целостности объектов возможность работы на компьютере для обычных пользователей блокируется. В некоторых МДЗ реализована поддержка возможности удаленного управления параметрами работы.

Модули доверенной загрузки, как правило, реализуются на базе плат с системными шинами PCI, PCI-X, PCI Express, mini-PCI, mini-PCI Express, которые могут включать следующие компоненты:

Кроме того, в состав МДЗ может входить программное обеспечение для поддерживаемых ОС, которое обычно включает драйвер, программу управления и интерфейсный модуль API для внешних приложений.

Современные МДЗ поддерживают работу на компьютерах как с ОС семейства MS Windows, так и с рядом ОС семейства UNIX/Linux.

Российский рынок МДЗ

На протяжении многих лет лидирующие позиции на российском рынке МДЗ занимают Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР), Научно-инженерное предприятие (НИП) «Информзащита» и фирма «АНКАД».

ОКБ САПР (http://www.okbsapr.ru) является родоначальником отечественных МДЗ. Первый сертификат соответствия Гостехкомиссии России компания получила более 15 лет назад – в декабре 1994 года.

Рисунок 1. Контроллер «Аккорд-5.5МР»

Выпускаемые в настоящее время ОКБ САПР модули доверенной загрузки носят общее наименование «Аккорд-АМДЗ» и реализуются в пяти модификациях:

Комплекс «Аккорд-АМДЗ» включает аппаратные и программные средства. В базовый комплект поставки аппаратных средств входят контроллер, два идентификатора iButton DS1992 и считывающее устройство.

Другие компоненты МДЗ (устройства блокировки каналов FDD, HDD (IDE), USB-портов, устройства отключения питания ATX, EATX и др.) поставляются дополнительно по требованию заказчиков.

Программное обеспечение «Аккорд-АМДЗ» (средства администрирования, средства идентификации и аутентификации, средства контроля целостности, журнал регистрации событий безопасности) размещается в энергонезависимой памяти контроллеров.

«Аккорд-АМДЗ» обеспечивает доверенную загрузку операционных систем, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. В список операционных систем входят MS DOS, Windows 9x/ME/NT/2000/XP/2003/Vista, QNX, OS/2, UNIX, LINUX, BSD и др.

Для идентификации пользователей разработчики «Аккорд-АМДЗ» предлагают применять идентификаторы iButton, персональное средство криптографической защиты информации «ШИПКА» и другие устройства, тип которых уточняется при заказе средства защиты. Аутентификация осуществляется по паролю (длиной до 12 символов), вводимому пользователем с клавиатуры. В «Аккорд-АМДЗ» поддерживается регистрация до 126 пользователей.

Помимо традиционного контроля целостности файлов и служебных областей жестких дисков «Аккорд-АМДЗ» поддерживает проверку неизменности аппаратной части компьютера и ветвей реестра операционных систем семейства Windows.

В МДЗ «Аккорд-5.5» дополнительно внедрены аппаратно реализованные криптографические алгоритмы защиты информации: шифрование (ГОСТ Р 28147-89), хэширование (ГОСТ Р 34.11-94, MD5, SHA-1), выработка и проверка электронной цифровой подписи (ГОСТ Р 34.10-2001), защитных кодов аутентификации (на основе ГОСТ Р 31.11-94).

Контроллеры «Аккорд-АМДЗ» могут использоваться совместно со специальным программным обеспечением, предназначенным для реализации алгоритмов разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Также контроллеры функционируют совместно с изделием «Средство криптографической защиты информации «КриптоПро CSP».

Научно-инженерное предприятие «Информзащита»

НИП «Информзащита» (http://www.infosec.ru) создало свой первый МДЗ в 1999 году. Он получил название «Электронный замок «Соболь». С 2009 года разработку МДЗ осуществляет компания «Код Безопасности» (http://www.securitycode.ru), входящая в группу компаний «Информзащита».

В настоящее время «Код Безопасности» серийно выпускает следующие типы МДЗ:

Новая версия ПАК «Соболь 3.0» выпускается в двух вариантах:

Помимо основных функций МДЗ (идентификация и аутентификация пользователей, блокировка загрузки ОС с внешних носителей, контроль целостности, регистрация событий безопасности) в ПАК «Соболь» реализован ряд дополнительных возможностей:

Расчет контрольных сумм при реализации механизма контроля целостности осуществляется в соответствии с алгоритмом ГОСТ Р 28147-89 в режиме вычисления имитовставки.

Механизм идентификации и аутентификации, реализованный в ПАК «Соболь 3.0», дает возможность использования нескольких типов идентификаторов:

В зависимости от типа предъявляемого идентификатора в комплексе поддерживаются двухфакторный (для iButton, iKey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для eToken PRO) способы аутентификации. Аутентификация пользователя осуществляется по паролю (длиной до 16 символов), вводимому с клавиатуры.

В ПАК «Соболь 3.0» поддерживается совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации Security Code vGate for VMware Infrastructure, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP».

В базовый комплект поставки ПАК «Соболь 2.1» входят плата для шины PCI, идентификаторы iButton DS1992 (2 шт.) с контактным устройством, кабель для механизма сторожевого таймера, компакт-диск с эксплуатационной документацией и программным обеспечением. В комплект поставки ПАК «Соболь 3.0» помимо iButton могут входить USB-идентификаторы.

Фирма «АНКАД» (www.ancud.ru) широко известна своими криптографическими аппаратными средствами защиты информации.

Желание разработчиков реализовать разграничение и контроль доступа пользователей к защищаемому компьютеру, разграничение доступа к аппаратным ресурсам компьютера, контроль целостности компьютерной программной среды привело их к созданию аппаратно-программных МДЗ семейства «КРИПТОН-ЗАМОК»:

Идентификация и аутентификация пользователей в МДЗ семейства «КРИПТОН-ЗАМОК» осуществляется с помощью идентификаторов iButton.

Контроль целостности программной среды (контрольные суммы рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94) реализуется для файловых систем FAT 12, FAT 16, FAT 32, NTFS, EXT2FS, EXT3FS.

Устройство обеспечивает аппаратную блокировку от несанкционированной загрузки ОС с внешних носителей: дискет, CD/DVD-дисков, USB-дисков и USB flash-накопителей.

В МДЗ осуществляется ведение журнала регистрации и учета событий безопасности, расположенного в энергонезависимой памяти на плате изделия.

Рисунок 3. Плата изделия «КРИПТОН-ЗАМОК/Е»

В настоящее время фирма «АНКАД» выпустила версию МДЗ для шины PCI-E х1 Rev 1.1 – «КРИПТОН-ЗАМОК/Е» (см. рис. 3), в которой реализован ряд новых возможностей. Например, разработчики повысили производительность устройства (на плате встроены процессор с тактовой частотой 200 МГц и память объемом 256 Мб), создали независимый USB-интерфейс для подключения внешних носителей, внедрили новый формфактор платы, позволяющий использовать устройство в системных блоках уменьшенного размера.

Новые угрозы компьютерной безопасности

Известно, что основные угрозы компьютерной безопасности исходят от вредоносных программ, размещаемых на уровне ядра операционной системы, реже – от загрузочных программных модулей. Для борьбы с вредоносными программами достаточно иметь средства контроля состояния файловой системы и сканирования пространства оперативной памяти.

В последние годы появились новые способы проникновения в компьютерные системы. Их реализация стала возможной благодаря произошедшим существенным архитектурным изменениям современных компьютерных платформ. К основным аппаратным изменениям можно отнести:

К сожалению, в настоящий момент многие аппаратные решения не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей и значительному повышению вероятности реализации злонамеренных действий, не контролируемых со стороны ОС.

Весьма показательной является 4-уровневая классификация способов проникновения и скрытого функционирования, предложенная сотрудниками компании Invisible Things Lab (http://www.invisiblethingslab.com) Alexander Tereshkin и Rafal Wojtczuk:

Аппаратура виртуализации в настоящее время является неотъемлемой частью практически любой вычислительной системы – от ноутбука до сервера. С одной стороны, аппаратура необходима гипервизорам систем виртуализации, за счет ее использования они существенно повышают свою эффективность. С другой стороны, эта же аппаратура может использоваться нелегальными программами для контроля над системой и для скрытия собственного присутствия на компьютере.

Гипервизор системы виртуализации позволяет создавать не только мультисистемные среды, но и среды доверенного и контролируемого исполнения одной ОС, при этом обеспечивается контроль всех компонентов ОС и прикладного программного обеспечения. Помимо этого гипервизор предоставляет возможность создавать виртуальные устройства, полностью имитирующие наличие реального устройства в системе. Поскольку в концепции виртуализации заложена ее прозрачность для любых программных и аппаратных средств, современные средства защиты неспособны обнаружить гипервизор, оставляя злоумышленнику возможность скрытого проникновения в любую систему.

Классическим примером «опасной» реализации аппаратной поддержки виртуализации является представленная в «далеком» 2006 году польским программистом Joanna (см. http://www.eweek.com/c/a/Windows/Blue-Pill-Prototype-Creates-100-Undetectable-Malware) технология Blue Pill (BP) и ее продолжение New BP. Как показала демонстрация, с помощью полностью невидимой технологии BP удалось перехватить функционирующую на компьютере ОС Windows Vista x64 и менее чем за миллисекунду переместить ее под управление гипервизора BP.

Режим SMM был введен в компьютерные архитектуры х86 с целью управления режимами «горячей» замены устройств и энергосберегающими функциями. Этот режим полностью прозрачен для ОС (средства ОС останавливаются на время работы процессора в режиме SMM), программы его обслуживания инициализируются BIOS. В SMM-режиме код, записанный в микросхему BIOS, может контролировать работу системы в любой момент ее функционирования, а не только до момента загрузки ОС (как было ранее).

Поскольку микросхемы BIOS могут иметь емкость десятки мегабайт, программные модули в BIOS можно без особого труда снабдить вредоносным кодом. Проконтролировать функционирование программ системного управления работой процессора средствами антивирусных систем и систем защиты от несанкционированного доступа невозможно, так как их работа аппаратно изолирована друг от друга.

Технология АМТ (vPRO – для десктопов и ноутбуков) предназначена для удаленного управления компьютерными системами, причем она активна даже в выключенном состоянии компьютера (подается только дежурное напряжение). Удаленное управление осуществляется через Интернет с использованием сетевого проводного или беспроводного доступа. Управляющим элементом технологии является специальный внедренный микроконтроллер с собственной памятью и хранящимися в ней управляющими программными модулями.

Микроконтроллер имеет независимый канал доступа к сетевым устройствам, для него аппаратно поддерживаются собственные сетевые МАС- и IP-адреса. Он может работать с виртуальными сетями и обеспечивать туннелирование своих транзакций в информационном потоке ОС. Операционная система не контролирует работу микроконтроллера, а только посылает и принимает транзакции управления и состояния через интерфейс IPMI.

Таким образом, внедрение и работа вредоносных программных модулей, выполняемых микроконтроллером, никак не контролируется средствами ОС и антивирусными программами. Значит, имеется возможность тотального скрытого контроля над компьютером из любой точки мира через Интернет.

Рассмотренные выше способы проникновения в компьютерные системы возникли после внедрения новых аппаратных решений, которые привели как к повышению эффективности систем, так и к снижению их безопасности. Появившиеся пути проникновения вредоносных программ и сами программы в настоящий момент не могут быть обнаружены и блокированы традиционными способами.

Для повышения уровня безопасности необходимо обеспечить надежный контроль ряда важных компьютерных ресурсов и их параметров. К ним следует отнести:

Реализацию такого контроля можно возложить на независимые аппаратные средства, вынесенные за пределы области управления и контроля со стороны потенциально опасной аппаратуры и программного кода. В качестве такого устройства предлагается использовать МДЗ, дополнив его специальными модулями контроля аппаратной платформы.

За годы своего существования модули доверенной загрузки зарекомендовали себя надежными, простыми в администрировании и недорогими средствами защиты от несанкционированного доступа к компьютерам. Поэтому они получили столь широкое распространение в системах информационной безопасности на многих российских предприятиях.

В последнее время мир компьютерных угроз пополнился новыми способами проникновения, использующими аппаратные уязвимости современных вычислительных платформ. Появившиеся угрозы заставляют разработчиков средств защиты информации принимать меры по усилению контроля над аппаратными средствами компьютеров и программными модулями, использующими эти средства. Как показали последние исследования, на модули доверенной загрузки могут быть возложены дополнительные функции контроля аппаратной платформы защищаемых компьютеров. Ближайшее будущее покажет эффективность принятого решения.

Источник

• ← красное пятно шелушится что это
• Хочу быть бухгалтером с чего начать →